Microsoft Defender XDR と SIEM ツールと統合する
適用対象:
注:
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
セキュリティ情報とイベント管理 (SIEM) ツールを使用して、Microsoft Defender XDR インシデントとストリーミング イベント データをプルする
注:
- Microsoft Defender XDRインシデントは、相関アラートとその証拠のコレクションで構成されます。
- Microsoft Defender XDRストリーミング API は、イベント データをMicrosoft Defender XDRからイベント ハブまたは Azure ストレージ アカウントにストリーミングします。
Microsoft Defender XDRでは、登録されたMicrosoft Entra アプリケーションの OAuth 2.0 認証プロトコルを使用して、Microsoft Entra IDのエンタープライズ テナントから情報を取り込むセキュリティ情報とイベント管理 (SIEM) ツールがサポートされています。環境。
詳細については、以下を参照してください:
- Microsoft Defender XDR API のライセンスと使用条件
- Microsoft Defender XDR API にアクセスする
- Hello World の例
- アプリケーション コンテキストでアクセスする
セキュリティ情報を取り込むには、次の 2 つの主要なモデルがあります。
azure の REST API からMicrosoft Defender XDRインシデントとその含まれるアラートを取り込む。
Azure Event Hubs または Azure Storage アカウントを介してストリーミング イベント データを取り込む。
Microsoft Defender XDRでは現在、次の SIEM ソリューション統合がサポートされています。
インシデント REST API からのインシデントの取り込み
インシデント スキーマ
包含アラートエンティティや証拠エンティティメタデータなど、Microsoft Defender XDRインシデントプロパティの詳細については、「スキーマ マッピング」を参照してください。
Splunk
以下をサポートする、完全にサポートされている新しい Splunk アドオン for Microsoft Security を使用します。
Splunk の Common Information Model (CIM) にマップされる、次の製品からのアラートを含むインシデントを取り込みます。
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for IdentityとMicrosoft Entra ID 保護
- Microsoft Defender for Cloud Apps
Defender for Endpoint アラート (Defender for Endpoint の Azure エンドポイントから) を取り込み、これらのアラートを更新する
Microsoft Defender XDRインシデントやMicrosoft Defender for Endpointアラートの更新とそれぞれのダッシュボードのサポートが、Microsoft 365 App for Splunk に移行されました。
関連情報:
Microsoft Security 用 Splunk アドオンについては、Splunkbase の Microsoft セキュリティ アドオンに関するページを参照してください。
Splunk 用 Microsoft 365 アプリについては、Splunkbase の Microsoft 365 アプリを参照してください
Micro Focus ArcSight
Microsoft Defender XDR用の新しい SmartConnector は、インシデントを ArcSight に取り込み、これらを Common Event Framework (CEF) にマップします。
新しい ArcSight SmartConnector for Microsoft Defender XDRの詳細については、「ArcSight 製品ドキュメント」を参照してください。
SmartConnector は、非推奨となったMicrosoft Defender for Endpointの前の FlexConnector を置き換えます。
弾性
Elastic Security は、SIEM の脅威検出機能とエンドポイントの防止と対応機能を 1 つのソリューションに組み合わせたものです。 Microsoft Defender XDRと Defender for Endpoint の Elastic 統合により、組織は Elastic Security 内の Defender からのインシデントとアラートを利用して、調査とインシデント対応を実行できます。 エラスティックは、堅牢な検出ルールを使用して脅威をすばやく検出するクラウド、ネットワーク、エンドポイント ソースなど、他のデータ ソースとこのデータを関連付ける。 Elastic コネクタの詳細については、「 Microsoft M365 Defender |Elastic docs
Event Hubs を介したストリーミング イベント データの取り込み
まず、Microsoft Entra テナントから Event Hubs または Azure Storage アカウントにイベントをストリーミングする必要があります。 詳細については、「 ストリーミング API」を参照してください。
Streaming API でサポートされるイベントの種類の詳細については、「 サポートされているストリーミング イベントの種類」を参照してください。
Splunk
Azure Event Hubsからイベントを取り込むには、Microsoft Cloud Services 用 Splunk アドオンを使用します。
Microsoft Cloud Services 用 Splunk アドオンの詳細については、Splunkbase の Microsoft Cloud Services アドオンに関するページを参照してください。
IBM QRadar
Microsoft Defender XDR ストリーミング API を呼び出す新しい IBM QRadar Microsoft Defender XDR Device Support Module (DSM) を使用します。これにより、Event Hubs または Azure Storage アカウントを介してMicrosoft Defender XDR製品からストリーミング イベント データを取り込むことができるようになります。 サポートされているイベントの種類の詳細については、「 サポートされているイベントの種類」を参照してください。
弾性
Elastic Streaming API の統合の詳細については、「 Microsoft M365 Defender |エラスティック ドキュメント。
関連記事
Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示